Das BMG plant eine umfassende Digitalisierung des Gesundheitswesens. Zwei Vorhaben sollen dafür den Weg ebnen: das Digitalgesetz und das Gesundheitsdatennutzungsgesetz. Die Referentenentwürfe zeigen (Stand Juni 2023), dass die Reformen möglicherweise zulasten der Versicherten und des Datenschutzes gehen könnten, warnen Experten. Hier eine Zusammenfassung der Diskussion:
Den rechtlichen Rahmen dafür sollen zwei lang erwartete Gesetze liefern: das Digitalgesetz (DigiG) und das Gesundheitsdatennutzungsgesetz (GDNG). Wir veröffentlichen die Referentenentwürfe beider Gesetzesvorhaben im Volltext. Als Drittes im Bunde soll noch das Digitalagenturgesetz folgen. D.h., eine neue staatliche „Agentur“ soll die Prozesse im Gesundheitswesen steuern. Damit soll die gematik, die für weite Teile der digitalen Gesundheitsinfrastruktur zuständig ist, zu einer Gesundheitsagentur werden.
Im Fokus steht aber zunächst der legislative Doppelschlag. Die Gesetze sehen vor, Gesundheitsdaten umfassend zu digitalisieren und zu nutzen. Sowohl Forschende als auch Krankenkassen sollen Zugriff auf die Daten erhalten. Für gesetzlich Versicherte bedeutet dies wohl: Sie müssen in Zukunft aktiv widersprechen, wenn sie nicht wollen, dass ihre Daten genutzt werden. Bisher müssen sie in der Regel vorab zustimmen.
Dieser Paradigmenwechsel vom Opt-In zum Opt-Out geht zulasten der Versicherten – zumal grundlegende Fragen des Datenschutzes und der Datensicherheit weitgehend ungeklärt sind. Darüber hinaus bereitet der Minister nicht nur die Weitergabe der Gesundheitsdaten von Millionen Versicherten an den geplanten Europäischen Gesundheitsdatenraum (EHDS) vor, sondern er will eigenen Angaben zufolge auch den Datenhandel mit den USA ausbauen.
Der Vorschlag zur EHDS klingt zunächst gut: Harmonisierung der Gesundheitsdaten. Dabei geht es nicht nur um den sogenannten „primary use“, sondern es gibt noch einen „secondary use“ – also eine Verwendung von Gesundheitsdaten über den eigentlich Primärzweck der Behandlung und Versorgung hinaus.
Doch auch die EU-Parlamentarier sind sich uneinig. Während die EU-Kommissionen Patientinnen und Patienten nicht einmal ein Widerspruchsrecht einräumen wollte, schlugen die führenden Berichterstatter im Europäischen Parlament zu Beginn der politischen Debatte ein Opt-out-Recht vor. Bundestagsabgeordnete der Ampelregierung sehen als „Worst-Case-Szenario“, dass die Mitgliedstaaten dies selbst regeln – oder auch ausschließen, berichtet heise.
Kommt eine „Datenöffnung“ mit der ePA und dem E-Rezept durch die Hintertüre?
Die beiden vorliegenden Gesetze, das Digitalgesetz (DigiG) und das Gesundheitsdatennutzungsgesetz (GDNG), sollen dafür zunächst „bürokratische und organisatorische Hürden bei der Datennutzung“ abbauen. Das DigiG nimmt dazu vor allem die digitale Gesundheitsversorgung in den Blick. Zentrale Vorhaben sind hier unter anderem die Elektronische Patientenakte (ePA) und das E-Rezept. Das GDNG hingegen regelt vor allem, wie Gesundheitsdaten für die Forschung erschlossen und bereitgestellt werden.
Zu den Referentenentwürfen zum Gesundheitsdatennutzungsgesetz (GDNG) sowie zum Digital-Gesetz (DigiG) erklären die Vorstände der Kassenärztlichen Bundesvereinigung (KBV) Dr. Andreas Gassen, Dr. Stephan Hofmeister und Dr. Sibylle Steiner, dass sie zwar das Opt-Out-Verfahren begrüßen könnten. Zugleich aber fordert sie grundlegende Änderungen an der ePA „damit sie vom Nischenprodukt mit Paradiesvogelstatus zur Massenanwendung“ werden könne. Ärzt:innen würden die digitale Akte erst dann akzeptieren, wenn sich die Daten einfacher und automatisiert eingetragen lassen.
Pseudonymisierte Daten zu Forschungszwecken?
Liegen die Gesundheitsdaten der gesetzlich Versicherten digital vor, sollen sie künftig pseudonymisiert zu verschiedenen Forschungszwecken genutzt werden können. Laut GDNG ist eine Einwilligung der Versicherten vorab ebenfalls nicht vorgesehen. Auch in diesem Fall können sie nur im Nachhinein mittels Opt-Out widersprechen.
Tun die Versicherten das nicht, stehen der Forschung potenziell sämtliche in der ePA gespeicherten Befunde und Laborwerte zur Verfügung. Unternehmen wie Universitäten müssen die Nutzung von Gesundheitsdaten dann bei einer noch zu schaffenden „Datenzugangs- und Koordinierungsstelle für Gesundheitsdaten“ beantragen, die beim Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) angedockt sein wird. Eine Unterscheidung zwischen gemeinwohlorientierter und kommerzieller Forschung sieht der GDNG-Entwurf nicht vor.
Krankenkassen dürfen auf Gesundheitsrisiken hinweisen
Krankenkassen sollen die personenbezogenen Daten ihrer Versicherten ebenfalls detailliert auswerten dürfen. Laut GDNG-Entwurf können sie dazu datengestützte Auswertungen „zum individuellen Gesundheitsschutz“ vornehmen. D.h., wenn bei einer Versicherten mutmaßlich ein hohes Diabetesrisiko besteht, muss die Kasse die Betroffene dann auch darüber informieren, aber nicht ihr Hausarzt?
Die KBV meint dazu: „Die Vorstellung, dass Krankenkassen aufgrund der Auswertung von Abrechnungsdaten ihre Versicherten warnen können, unter Umständen an schweren Erkrankungen zu leiden, ist nur gruselig.“
Der automatisierten Datenverarbeitung können die Versicherten – wen überrascht’s – nur durch ein Opt-Out-Verfahren widersprechen. Bislang war eine solche Datennutzung durch die Kassen aus guten Gründen ausgeschlossen. Zu groß war die Befürchtung, dass die gesetzliche Krankenkassen Versicherte abweisen könnten, wenn diese einem höheren Risiko unterliegen, schwer zu erkranken.
Aus Sicht des Bundesvorsitzenden des Deutschen Hausärzteverbandes, Markus Beier, stellen die vorgesehen Datenanalysen „einen sehr weitgehenden Eingriff“ ohne ausdrückliche Zustimmung der Patienten dar, der „rechtlich intensiv geprüft werden müsse“. Beier befürchtet, dass die mutmaßlich unspezifischen Warnungen die Versicherten verunsichern könnten – und diese dann die Arztpraxen stürmen. Es hätte sich bewährt, dass Krankenkassen „sich im Interesse der Patientinnen und Patienten bei medizinischen Fragen rauszuhalten haben“, so Beier.
Auch die Datenschutzkonferenz von Bund und Ländern (DSK) kritisiert in einer gemeinsamen Stellungnahme, die europäischen Pläne für einen Gesundheitsdatenraum (European Health Data Space, EHDS) greifen zu weit. Die geplanten Regelungen reichten nicht aus, um die Betroffenen wirklich zu schützen. Streckenweise hält die DSK sie sogar für unzulässig.
Die Datenschutzkonferenz vermisst überdies „rechtsklare Regelungen„.
Will Lauterbach einen Datenaustausch mit den USA anstreben?
Wie wichtig eine datenschutzrechtliche Kontrolle jedoch gerade im Gesundheitsbereich ist, zeigen die Pläne, die Gesundheitsdaten von Millionen Versicherten nicht nur in den Europäischen Gesundheitsdatenraum, sondern auch in die USA zu übermitteln, die Datenschutzkonferenz von Bund und Ländern (DSK). Dies zeigt auch der Entwurf der EU-Kommission über die EHDS.
Zudem kündigte der Gesundheitsminister zeitnah auf der Data for Health Conference an, auch den „Datenaustausch zwischen Amerika und Europa verbessern“ zu wollen.
BM Lauterbach versicherte, dass das BMG auch hier „eine sehr sichere Infrastruktur [anstrebt] mit den Möglichkeiten einer Verschlüsselung, die super sicher ist.“ Da dabei jedoch zunehmend KI-Systeme zum Einsatz kämen, sei „nicht jede Form der Ende-zu-Ende-Verschlüsselung“ möglich, so der Minister.
Wie könnte eine sichere, datenschutzkonforme Speicherung von Patientendaten aussehen?
Siehe hier das Beispiel von Chino.io:
Quelle: mit Material von netzpolitik.org, KBV und heise.